Ignorer et passer au contenu principal
Avertissement : cet article est le résultat de la traduction automatique, l'exactitude et la fidélité de la traduction ne sont donc pas garanties. Pour consulter la version originale de cet article, en anglais, cliquez ici.
Account Settings

Configurez l'authentification unique (SSO) à l'aide d'AD FS (Active Directory Federation Services)

Dernière mise à jour: mars 12, 2021

Disponible avec :

Marketing Hub Entreprise
Sales Hub Entreprise
Service Hub Entreprise
CMS Hub Entreprise

Si vous disposez d'un compte HubSpot Entreprise, vous pouvez configurer l'authentification unique à l'aide d'AD FS (Active Directory Federation Services). 

Pour utiliser AD FS pour vous connecter à votre compte HubSpot, vous devez répondre aux exigences suivantes :

  • Tous les utilisateurs de votre instance Active Directory doivent avoir un attribut d'adresse e-mail.
  • Vous utilisez un compte HubSpot Entreprise.
  • Vous avez un serveur exécutant Microsoft Server 2012 ou 2008. 

Remarque : Ce processus de configuration doit être effectué par un administrateur informatique expérimenté dans la création d'applications dans votre compte de fournisseur d'identité. Découvrez-en davantage sur la configuration de l'authentification unique avec HubSpot

Ajoutez un Relying Party Trust (RPT)

Ouvrez votre gestionnaire AD FS (Active Directory Federation Services :

  • Dans votre gestionnaire AD FS, ouvrez le dossier RPT (Relying Party Trusts)
  • Dans le menu latéral de droite, sélectionnez Ajouter un Relying Party Trust...
  • Dans la boîte de dialogue Ajout d'un Assistant Relying Party Trust, cliquez sur Démarrer pour ajouter un nouveau RPT. 
  • Dans l'écran Sélectionner une source de données, sélectionnez Entrer manuellement données relatives au correspondant
  • Cliquez sur Suivant >.
  • Dans le champ Nom d'affichage, saisissez un nom à des fins internes, que vous pouvez facilement reconnaître. 
  • Cliquez sur Suivant >
  • Dans l'écran Configurer le certificat, laissez les paramètres par défaut tels quels, puis cliquez sur Suivant>.
  • Sélectionnez la case à cocher Activer la prise en charge du protocole SAML 2.0. Dans le champ URL du service d'authentification unique SAML 2.0 du correspondant, saisissez https://api.hubspot.com/login-api/v1/saml/acs?portalId=[votreHubID] (ajouter votre HubID après « portalId= » dans l'URL). 
  • Cliquez sur Suivant >
  • Dans le champ Identifiant de la confiance du correspondant :
    • Saisissez https://api.hubspot.com/login-api/v1/saml/login/[votreHubID] (ajouter votre Hub ID après le dernier « / »). Cliquez sur Ajouter.
    • Saisissez https://api.hubspot.com, puis cliquez sur Ajouter
  • Cliquez sur Suivant >
  • Dans la fenêtre Choisir une politique de contrôle d'accès, sélectionnez Autoriser tout le monde, puis cliquez sur Suivant >
  • Vérifiez vos paramètres, puis cliquez sur Suivant >
  • Cliquez sur Fermer

Créez des règles de recours 

Avant de configurer votre règle de recours, assurez-vous que les adresses e-mail de vos utilisateurs correspondent à celles de leurs utilisateurs HubSpot. Vous pouvez utiliser d'autres identifiants, tels que le Nom d'utilisateur principal (UPN), si vos UPN se présentent sous la forme d'une adresse e-mail. Pour que l'authentification unique avec AD FS fonctionne, le nameID doit être sous la forme d'une adresse e-mail afin de correspondre à un utilisateur HubSpot. 

  • Dans la fenêtre Règle de recours, cliquez sur Ajouter une règle
  • Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Envoyer les attributs LDAP en tant que revendications
  • Cliquez sur Suivant >
  • Sur l'écran Configurer une règle de recours :
    • Dans le champ Nom de la règle de recours, saisissez un nom de règle. 
    • Cliquez sur le menu déroulant Magasin d'attributs et sélectionnez Active Directory
    • Dans le tableau Mappage d'attributs LDAP, cartographiez les éléments suivants :
      • Dans la colonne Attribut LDAP, cliquez sur le menu déroulant et sélectionnez Adresses e-mail
      • Dans la colonne Type de recours sortant, cliquez sur le menu déroulant et sélectionnez Adresse e-mailadfs-claims-set-up
  • Cliquez sur Terminer

Ensuite, configurez la règle Transformer un recours entrant : 

  • Cliquez sur Ajouter une règle
  • Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Transformer un recours entrant
  • Cliquez sur Suivant >
  • Sur l'écran Configurer une règle de recours :
    • Saisissez un nom de règle de recours. 
    • Cliquez sur le menu déroulant Type de recours entrant et sélectionnez Adresse e-mail
    • Cliquez sur le menu déroulant Type de recours sortant et sélectionnez ID du nom
    • Cliquez sur le menu déroulant Format de nom sortant et sélectionnez E-mail.  
    • Cliquez sur Terminer pour ajouter la nouvelle règle. 
  • Cliquez sur OK pour ajouter les deux nouvelles règles. 

Ajustez les paramètres de confiance

Dans le dossier Replying Party Trusts, sélectionnez Propriétés dans le menu de la barre latérale Actions. Cliquez sur l'onglet Avancé et assurez-vous que SHA-256 est spécifié comme algorithme de hachage sécurisé. Bien que SHA-256 et SHA-1 soient tous deux pris en charge, SHA-256 est recommandé. 

Localisez votre certificat PEM au format x509 et complétez votre configuration dans HubSpot

Pour accéder à votre format PEM x509 :

  • Accédez à la fenêtre de gestion AD FS. Dans le menu latéral de gauche, accédez à Services > Certificats
  • Localisez le certificat de signature de jeton. Faites un clic droit sur le certificat et sélectionnez Afficher le certificatadfs-locate-certificate
  • Dans la boîte de dialogue, cliquez sur l'onglet Détails
  • Cliquez sur Copier vers le fichier
  • Dans la fenêtre Exporter le certificat qui s'ouvre, cliquez sur Suivant
  • Sélectionnez X.509 (.CER) codé en Base 64, puis cliquez sur Suivant
  • Donnez un nom à votre fichier, puis cliquez sur Suivant
  • Cliquez sur Terminer pour terminer l'exportation. 
  • Localisez le fichier que vous venez d'exporter et ouvrez-le à l'aide d'un éditeur de texte, tel que le Bloc-notes. 
  • Copiez le contenu du fichier. 
  • Connectez-vous à votre compte HubSpot. 
  • Depuis votre compte HubSpot, accédez à l'icône Paramètres settings dans l'angle supérieur droit.
  • Dans la section Authentification unique (SSO) de l'écran Comptes par défaut, cliquez sur Configurer.
  • Dans le panneau coulissant Configurer l'authentification unique, collez le contenu du fichier dans le champ Certificat X.509
  • Retournez à votre gestionnaire AD FS. 
  • Dans le menu latéral de gauche, sélectionnez le dossier Points de terminaison
  • Recherchez l'URL du point de terminaison du service SSO et de l'entité. L'URL du service SSO se termine généralement par « adfs / services / ls » et l'URL de l'entité se termine par « adfs / services / trust ».
  • Revenez à HubSpot. Dans le champ Identifiant ou émetteur du fournisseur d'identité, saisissez l'URL de l'entité. Dans le champ URL d'authentification unique du fournisseur d'identité, saisissez l'URL du service d'authentification unique. 
  • Cliquez sur Vérifiersingle-sign-on-add-endpoints-from-provider

Remarque : Si vous recevez une erreur lors de la configuration de la connexion unique dans HubSpot, consultez les journaux de l'observateur d'événements sur votre appareil pour le message d'erreur. Si vous ne parvenez pas à résoudre le message d'erreur, contactez le support HubSpot